Оценка надежности резервированных систем

(8.13)

т.е. наработка на отказ системы обратно пропорциональна количеству ее элементов.

Резервированный элемент (контроллер, датчик и др.) при расчете надежности можно рассматривать как один элемент системы, если для него найдены показатели надежности.

Поскольку в системах автоматизации используются, как правило, только 2 вида резервирования: горячее c замещением и резервирование методом голосования, то при расчете их показателей безотказности можно обойтись без аппарата цепей Маркова, ограничившись алгеброй случайных событий и теорией вероятностей. При расчете вероятности отказа теплое резервирование не отличается от горячего.

В случае горячего резервирования 2 элемента (например, 2 ПЛК) находятся постоянно во включенном состоянии и при отказе одного из них в работу включается 2-ой. Если считать, что общие элементы, обеспечивающие процесс резервирования, абсолютно надежны, то безотказная работа резервированной системы A_∑ , состоящей из 2-х ПЛК, будет обеспечена, если работоспособен хотя бы один из них. Обозначим событие безотказной работы 1-го элемента как А₁, 2-го - как А₂, а противоположные им события (отказы элементов) как А₁^ и А₂^. Тогда событие, состоящее в работоспособности резервированной системы (в данном примере система из2-х ПЛК), будет иметь место, если работоспособен 1-ый ПЛК и одновременно работоспособен 2-ой ( А₁А₂ ) ИЛИ работоспособен 1-ый и отказал 2-ой ( А₁А₂^{^} ) ИЛИ отказал 1-ый и работоспособен 2-ой: ( А₁^{^}А₂ ), т.е.

(8.14)

Найдем теперь вероятность работоспособности системы Р(A_∑ ), пользуясь тем, что события А₁А₂, А₁А₂^{^}, А₁^{^}А₂ несовместны (т.е. не могут иметь место в одно и то же время), следовательно, вероятность суммы событий равна сумме вероятностей каждого из них, а вероятность произведения событий равна произведению вероятностей:

(8.15)

Здесь использовано также свойство .

Поскольку элементы в резервированной системе идентичны, то Р(А₁) = Р(А₂) = Р₀ и, обозначая Р( A_∑ ) = Р _∑ :

(8.16)

Подставляя сюда вместо Р₀ его зависимость от времени (8.5), получим вероятность безотказной работы системы при горячем резервировании:

(8.17)

где λ ₀ - интенсивность отказов элемента без резервирования.

Плотность распределения времени до отказа (частота отказов) согласно (8.6):

(8.18)

а среднее время наработки до отказа

(8.19)

где Т₀ - средняя наработка на отказ одного контроллера. Интеграл в (8.19) берется по частям.

Рассуждая аналогично, можно получить вероятность безотказной работы системы из 3-х элементов, например, 3-х контроллеров, в схеме голосования 2ооЗ. Обозначим события, состоящие в работоспособности 3-х элементов соответственно A₁, A₂ и А₃, а противоположные им события (отказы) - как A₁^, A₂^ и А₃^. Тогда резервированная система будет работоспособной, если работоспособны 1-й И 2-й И отказал 3-й контроллер ИЛИ работоспособен 1-й И 3-й И отказал 2-й контроллер ИЛИ работоспособен 2-й И 3-й И отказал 1-й контроллер ИЛИ работоспособны все 3 контроллера одновременно, т.е.

(8.20)

Переходя от событий к их вероятностям и учитывая, что слагаемые в (8.20) являются событиями несовместными, а также считая, что все контроллеры идентичны, т.е. Р(А₁) = Р(А₂) = Р(А₃) = Р₀:

поэтому

(8.22)

Графики зависимостей (8.17) и (8.22) показаны на (рис.8.21, а).

Рис 8.21. Вероятность безотказной работы ПЛК с Т₀ = 500 тыс. ч в течение времени наработки для случаев дублирования, голосования по схеме 2ооЗ и при отсутствии резервирования. Графики а и б отличаются масштабом

Плотность распределения времени до отказа (частота отказов) согласно (8.6):

(8.23)

а среднее время наработки до отказа

(8.24)

где Т₀ - средняя наработка на отказ одного контроллера.

Видно, что средняя наработка до отказа у системы с голосованием получилась ниже, чем у нерезервированной системы. Это объясняется тем, что система с 3-мя контроллерами и голосованием по схеме 2ооЗ не является троированной, а имеет дробную кратность резервирования 1: 2, т.е. в ней резервный элемент - один, а резервируемых - 2, поскольку в схеме голосования только наличие 2-х работоспособных контроллеров обеспечивает работоспособность системы. Поэтому эффект снижения безотказности вследствие нарастания числа элементов в системе (8.13) при больших наработках оказывается сильнее эффекта резервирования. График вероятности безотказной работы для системы с голосованием (рис. 8.21, б) идет ниже, чем у системы без резервирования, начиная с некоторого значения наработки, а средняя наработка до отказа получается меньше.

Сравнение систем только по средней наработке до отказа может вводить в заблуждение так же, как средняя температура по больнице. Такое сравнение эффективно только для случаев, когда функциональные зависимости Р_∑ (t) элементов имеют одинаковый вид. Для систем с резервированием это условие не выполняется. Поэтому следует делать сравнение по более информативному показателю - вероятности безотказной работы, которая у системы с голосованием в течение практически всего времени эксплуатации значительно больше, чем у системы без резервирования (рис.8.21, а и б).

Графики рис.8.21, иллюстрируют вероятность безотказной работы системы, в которой после отказа одного из элементов не выполняется его замена или ремонт. Если же замена элемента производится сразу, то понятие вероятности безотказной работы теряет значение, поскольку после замены вероятность отказа без замены элемента реализоваться не может. Актуальной становится длительность перехода на резерв, а также продолжительность выполнения горячей замены или восстановления после отказа. Поэтому для обслуживаемых СА целью резервирования является обеспечение непрерывности процесса управления или увеличение КГ, но не увеличение вероятности безотказной работы. По этим же характеристикам система с голосованием превосходит все остальные.

Проделанный выше сравнительный анализ 2-х методов резервирования не может быть использован для систем безопасности, в которых вероятности опасного и безопасного отказов различны. Если в системах 2оо3, где требуется безотказность, после отказа 2-х элементов наступает отказ всей системы, то в системах безопасности опасный отказ наступает только после того, как исчерпаны все варианты деградации (например, 2ооЗ - 1оо2 - 1001 - 0). Таким образом, для анализа вероятности опасного отказа система 2ооЗ имеет кратность резерва не 2: 1, а 1: 2, т.е. она является троированной; после отказа одного элемента становится дублированной, после отказа 2-х элементов становится не резервированной, и только после отказа всех 2-х элементов наступает отказ системы. Кроме того, для анализа систем, связанных с безопасностью, важна не вероятность отказа, а вероятность отказа при наличии запроса которая рассчитывается иным путем.

Поскольку АС выполняет множество самостоятельных задач (функций), то параметры надежности по ГОСТ 24.701-86 оцениваются не для всей системы, а для каждой выполняемой функции отдельно.

При количественных оценках параметров надежности, а также при интерпретации полученных результатов следует учитывать достоверность исходных данных. Существующие методы экспериментальной оценки показателей надежности были разработаны во времена, когда наработка на отказ вычислительных машин (ЕС-1061, «Электроника ДЗ-28» и др.) составляла от нескольких часов до нескольких суток. Экспериментальный материал по отказам, собранный в течение месяца, был достаточен не только для оценки наработки на отказ, но даже для построения функций распределения, изучения зависимостей параметров надежности от условий эксплуатации (температуры, вибрации, влажности и т.п.).

С тех пор ситуация изменилась коренным образом. Появилась технология поверхностного монтажа, увеличилась степень интеграции микросхем, были разработаны новые материалы для монтажа и изготовления печатных плат. Надежность электронных изделий возросла настолько, что экспериментальные данные невозможно накопить в достаточном количестве не только при стендовых испытаниях у изготовителя, но даже путем анализа отказов изделий, возвращенных потребителями в течение гарантийного срока (такая методика используется фирмой GE Fanuc). Так, из 3 тыс. модулей в/в серии NL [НИЛ АП], в течение гарантийного срока не было ни одного возврата по причине аппаратного отказа.

Кроме того, ПЛК не относятся к изделиям массового производства и поэтому за период между сменой их поколений количество отказавших изделий может оказаться недостаточным для расчета наработки на отказ. Получить же зависимость показателей надежности от условий эксплуатации еще более проблематично.

Ускоренные испытания, широко применяемые в полупроводниковом производстве, неприменимы к ПЛК из-за невозможности экспериментального или расчетного определения коэффициентов подобия.

В то же время органы сертификации, в соответствии с существующими стандартами, требуют обязательного указания параметров надежности в ТУ и эксплуатационной документации на изделие. Одним из реально осуществимых методов оценки показателей надежности является использование статистических данных объектов-аналогов по ГОСТ 27.301-95. Поскольку аналоги, как правило, являются изделиями, изготовленными по устаревшей технологии, показатели надежности оказываются заниженными, по крайне мере, на порядок.

Рассмотрим, например, вероятность безотказной работы процессора CPU 313C-2DP [SIEMENS], на который изготовителем указывается наработка на отказ (MTBF) λ = 16, 9 лет. В соответствии с (8.4) и (8.5), вероятность отказа процессора в течение гарантийного срока 18 мес. будет равна 1 - ехр(-1, 5/16, 9) = 0, 08. Поскольку оценка вероятности отказа рассчитывается как доля отказавших изделий в испытуемой партии, то, например, из 1000 находящихся в эксплуатации процессоров в течение гарантийного срока должны отказать в среднем 80 шт. и только 920 шт. остаться исправными. Однако любой пользователь продукции SIEMENS скажет, что эта цифра отличается от реальной по крайней мере на порядок. Можно было бы предположить, что наработка на отказ занижена потому, что при ее экспериментальном определении условия испытаний были выбраны предельными. Однако документ «Консультация по надежности», указывает только одно условие: температура при испытаниях составляет 40°С, и не дает методики пересчета для других условий эксплуатации. Выглядит странным также указание наработки на отказ 3-мя значащими цифрами, что по теории погрешностей должно означать, что приведенные данные отличаются от действительных не более чем на 1 %.

Наличие большого числа парадоксов наводит на мысль, что показатели надежности, указываемые производителями электронных средств автоматизации, определяются политическими, а не техническими факторами, и по мере совершенствования технологии производства мы будем наблюдать только снижение достоверности этих показателей. В этих условиях о надежности изделий лучше судить по общей репутации фирмы и наличии системы управления качеством на базе стандартов ISO 9001 или ISO 9014, но не по наработке на отказ.